微分段(Microsegmentation)是一种网络安全管理方法,它通过将网络划分为多个小段,并根据各段的安全需求应用安全控制,从而管理工作负载间的网络访问权限。这种方法结合了最小权限原则和零信任架构,让管理员可以精确管理安全策略,限制流量,有效减少攻击面,加强数据泄露的防护,并增强合规性。
微分段通过网络虚拟化技术,在云部署中创建安全区域,这些小的安全区可以隔离工作负载,并为每个工作负载定制安全策略。这种粒度级的安全控制对于运行多个应用的现代云环境至关重要。企业可以为每个工作负载和应用程序单独应用安全控制,而不是采用针对服务器的统一安全策略。
工作负载广泛地定义为运行应用程序所需的资源和过程。主机、虚拟机和容器是几种常见的工作负载形式。公司可以在数据中心、混合云和多云环境中运行工作负载,而随着应用程序越来越多地部署在不同的云原生计算架构上,这种分布式趋势根据业务需求不断加速。
边界安全是大多数组织网络安全控制的重要部分。网络安全设备,如网络防火墙,会检查穿越安全边界的“南北”(客户端到服务器)流量,并阻止恶意流量。边界内的资产被隐含信任,意味着“东西”(工作负载间)的流量可能未经检查。
对于大多数组织来说,东西向通信占据了数据中心和云流量模式的大部分,而基于边界的防御对东西向流量缺乏可见性。考虑到这些因素,恶意行为者可能利用这一点,在工作负载间横向移动。
网络在工作负载间创建可靠的路径,并决定两个端点是否可以相互访问。微分段则通过创建隔离来决定两个端点是否应该相互访问。通过最小权限访问的强制实施,微分段减少了横向移动的范围,并包含数据泄露。
网络分段是一种将网络划分为多个小的子网的方法,这不仅有助于提升性能,还能增强安全:
利用网络分段进行安全管理存在挑战。分段需求并不总是与网络架构相匹配。重新架构网络或重新配置 VLAN 和子网以满足分段要求既困难又耗时。
图 4: 网络分段 - 使用 VLAN 和子网 - 是通过打破网络广播域来提供最佳网络性能的一种方法。
微分段,也被称为零信任或基于身份的分段,不需要重新架构就可以满足分段要求。安全团队可以在网络中隔离工作负载,限制恶意横向移动的影响。微分段控制可以分为三类:
微分段通过三个关键原则提供一致的安全性:可见性、粒度安全和动态适应。
一个微分段解决方案应该提供对所有网络流量的可见性,无论是在数据中心内部还是跨云流量。虽然监控流量的方式有很多,但最有效的方法是能够看到与工作负载上下文(例如,云、应用、编排器)相关联的流量,而不仅仅是包含 IP 地址和端口的日志。
粒度安全意味着网络管理员可以通过为关键应用程序创建特定策略来加强和精确安全。其目标是通过精确控制特定工作负载的进出流量(例如,每周的工资运行或人力资源数据库的更新),防止威胁的横向移动。
微分段为动态环境提供保护。例如,云原生架构如容器和 Kubernetes 可以在几秒钟内启动并关闭。分配给云工作负载的 IP 地址是短暂的,使基于 IP 的规则管理成为不可能。在微分段中,安全策略以身份或属性(env=prod, app=hrm 等)而不是网络构造(例如,10.100.0.10 tcp/80)的形式表达。应用或基础设施的更改会触发安全策略的实时自动修订,无需人工干预。
微分段为动态环境提供保护。例如,云原生架构如容器和 Kubernetes 可以在几秒钟内启动并关闭。分配给云工作负载的 IP 地址是短暂的,使得基于 IP 的规则管理成为不可能。在微分段中,安全策略以身份或属性(env=prod, app=hrm 等)而不是网络构造(例如,10.100.0.10 tcp/80)的形式表达。应用或基础设施的变化会触发安全策略的实时自动修订,无需人工干预。
容器分段涉及将容器从彼此及宿主系统隔离开来,以提高安全性并减少攻击面。容器化是一种广泛使用的技术,允许在单个宿主系统上的不同容器中运行多个应用程序或服务。如果没有适当的分段,容器可能会访问彼此的数据和配置文件,这可能导致安全漏洞。
容器隔离: 每个容器应从运行在同一宿主系统上的其他容器中隔离开来,以防止未授权访问。这可以通过使用 Docker 和 Kubernetes 等提供内置隔离机制的容器技术来实现。
网络分段: 可以使用网络分段技术将容器彼此分开。这涉及为每个容器创建独立的网络,并配置防火墙规则以允许或拒绝容器之间的流量。
基于角色的访问控制: 可以使用基于角色的访问控制(RBAC)定义不同容器的访问策略,根据用户角色和权限进行管理。这有助于确保容器只被授权的用户和过程访问。
镜像签名: 容器镜像可以进行数字签名,以确保只有经过验证的镜像才能在生产环境中部署。这有助于防止容器镜像被篡改或修改,从而减少安全漏洞的风险。
运行时保护: 运行时保护工具可以用来监控容器活动并检测可能表明安全漏洞的异常行为。这些工具有助于实时检测和防止攻击,提高容器化环境的安全态势。
容器分段有助于确保容器化应用程序和服务的安全。通过隔离容器并应用访问控制策略,组织可以减少攻击面,并防止未授权访问敏感数据和资源。容器分段应作为整体安全策略的一部分实施,包括网络安全、访问控制和运行时保护。
云安全中的用户分段涉及根据组织内不同角色和职责划分用户访问权限,以确保用户只能访问其工作功能所需的资源。用户分段通过限制敏感数据和资源的暴露范围,仅限于授权用户,从而减少攻击面。
由于云环境的动态性和快速变化,用户分段是全面云安全策略的关键组成部分。以下是云安全中用户分段的一些关键考虑因素:
通过实施 RBAC、MFA、持续监控、职责分离和定期访问审查,组织可以增强其云安全态势,保护免受不断变化的威胁影响。
采用微分段的组织能够实现具体的益处,具体包括:
微分段的应用范围广泛且日益增长。以下是一些代表性的例子:
虽然网络分段和微分段都有助于提升网络安全和性能,但它们在基础上有所不同。传统的网络分段侧重于进出网络的南北流量,并使用 VLAN、防火墙、路由器等设备实施。这些设备可以配置来执行网络层面的安全策略,如访问控制列表(ACL)或防火墙规则。
另一方面,微分段侧重于东西流量,通常使用基于软件的安全解决方案实施,如基于虚拟机的防火墙或端点保护平台(EPP)。微分段在个别工作负载或应用层面而非网络层面应用安全策略。
防火墙策略定义了组织的防火墙应如何处理针对某些 IP 地址和地址范围的进出网络流量。策略可能关注用户身份、网络活动和应用程序,以及 IP 地址。
虚拟网络使用软件连接计算机、虚拟机(VM)和服务器或虚拟服务器,与传统的物理网络不同,后者通过硬件和电缆固定在特定位置。
应用依赖是指软件、应用程序、服务器和其他组件相互依赖以执行其功能的情况。为确保服务不间断,应在将组件迁移到云、移到新的云环境或实施微分段之前绘制应用依赖关系图。
最后更新于 2024/12/12